vBulletin Forum için Zero Day Exploiti Açıklandı

Bugün anonim bir bilgisayar korsanı, yaygın olarak kullanılan internet forumu yazılımlarından biri olan vBulletin’daki yamasız, kritik bir sıfır gün uzaktan kod yürütme (RCE) güvenlik açığının ayrıntılarını ve kavram kanıtı (PoC) istismar kodunu kamuya duyurdu.

Güvenlik açığının ciddi bir sorun olarak görülmesinin nedenlerinden biri, yalnızca uzaktan yararlanılabilir olması değil aynı zamanda kimlik doğrulaması gerektirmemesidir.

PHP ile yazılmış olan vBulletin, Fortune 500 ve Alexa Top 1 milyon şirketin web siteleri ve forumları dahil olmak üzere, İnternet üzerinde 100.000’den fazla web sitesine güç veren, yaygın olarak kullanılan bir Internet forum yazılım paketidir.

Full Disclosure E-Posta Listesinde Yayınlanan detaylara göre hacker, en son 5.5.4’e kadar vBulletin sürüm 5.0.0’ı etkileyecek gibi görünen bir uzaktan kod yürütme güvenlik açığı bulduğunu iddia ediyor.

Güvenlik açığı, forum yazılım paketinin dahili bir widget dosyasının URL parametreleri aracılığıyla yapılandırmaları kabul etme ve ardından uygun güvenlik kontrolleri olmadan bunları sunucuda ayrıştırma, saldırganların komutları enjekte etmelerine ve sistemde uzaktan kod çalıştırmalarına neden olur.

bülten istismarı

Kavramsal bir kanıt olarak, bilgisayar korsanı aynı zamanda bir saldırganın  zero dayi  sömürmesini kolaylaştıracak python tabanlı bir istismar (exploit) yayınladı.

Şimdiye kadar, Common Vulnerabilities and Exposures (CVE) numarası bu güvenlik açığına atanmadı.

Hacker News, vBulletin proje sahiplerine güvenlik açığı bildirimi hakkında bilgi verdi ve bilgisayar korsanları vBulletin kurulumlarını hedeflemek için onları kullanmaya başlamadan önce güvenlik sorununun çözülmesi bekleniyor.

Tags:

About The Author

Reply